一. 安装 Certbot
我用的Alibaba Cloud Linux 3操作系统(类似于rhel fedora centos anolis),安装工具用dnf / yum:
1.1 获取软件源最新包信息
在安装之前,需要获取软件源最新包信息,确保包管理系统使用的是最新的、有效的软件包数据。否则可能会遇到包管理错误或无法安装最新的软件版本的问题。
dnf update
1.2 安装 Certbot 和 Nginx 插件
certbot是 Let's Encrypt 提供的一个工具,用于自动化证书的获取、安装和续期python3-certbot-nginx是为 Nginx 配置 SSL 证书的插件。
yum install certbot python3-certbot-nginx
二. 前期准备
2.1 确保nginx配置文件为 UTF-8 编码
Certbot 只能正确处理 UTF-8 编码的文件(否则在在2.4步骤会报:Could not read file: /etc/nginx/nginx.conf due to invalid character. Only UTF-8 encoding is supported.
),使用 file 命令检查文件的编码:
file /etc/nginx/nginx.conf
如果不是 UTF-8,则使用 iconv 命令可以转换文件编码:
iconv -f <原编码> -t utf-8 <输入文件> -o <输出文件>
所以我这里要将ISO-8859转为utf-8:
iconv -f ISO-8859-1 -t UTF-8 /etc/nginx/nginx.conf -o /etc/nginx/nginx.conf
检查一下,已成功转为utf-8:
2.2 配置 nginx 的 server_name
Certbot 的 --nginx 插件依赖 server_name 来确定将证书应用到哪个站点,如果没有明确配置 server_name,它无法自动完成安装:
配置server_name:
server {
listen 80;
listen [::]:80;
+ server_name minijude.cn www.minijude.cn;
root /home;
# index index.html;
# Load configuration files for the default server block.
include /etc/nginx/default.d/*.conf;
error_page 404 /404.html;
location = /40x.html {
}
error_page 500 502 503 504 /50x.html;
location = /50x.html {
}
}
2.3 提供你的邮箱
Certbot 在申请证书时需要注册一个账户,并要求提供一个电子邮件地址,用于:
- 接收 Let's Encrypt 关于证书续期或安全问题的通知。
- 作为联系你的方式(例如证书即将过期的提醒)。
不提供邮箱会报错:An e-mail address or --register-unsafely-without-email must be provided.。
你可以选择绕过(不推荐):
certbot --nginx -d minijude.cn -d www.minijude.cn --register-unsafely-without-email
使用--email 来提供邮箱:
certbot --nginx -d minijude.cn -d www.minijude.cn --email 1546985690@qq.com
三. 获取 SSL 证书
以上前期准备都完成后,就可以使用 Certbot 来为你的域名申请 SSL 证书了。
sudo certbot --nginx -d yourdomain.com -d www.yourdomain.com
这将自动生成 SSL 证书并修改你的 Nginx 配置文件来启用 HTTPS。Certbot 会与 Let's Encrypt 通信,验证你对域名的所有权,并颁发证书。
3.1 自动生成 SSL 证书位置
-
证书路径:
/etc/letsencrypt/live/你的域名/fullchain.pem -
私钥路径:
/etc/letsencrypt/live/你的域名/privkey.pem
3.2 修改 Nginx 配置文件,修改了哪些?
server {
- listen 80;
- listen [::]:80;
server_name minijude.cn www.minijude.cn;
root /home;
# index index.html;
# Load configuration files for the default server block.
include /etc/nginx/default.d/*.conf;
error_page 404 /404.html;
location = /40x.html {
}
error_page 500 502 503 504 /50x.html;
location = /50x.html {
}
+ listen [::]:443 ssl ipv6only=on; # managed by Certbot
+ listen 443 ssl; # managed by Certbot
+ ssl_certificate /etc/letsencrypt/live/minijude.cn/fullchain.pem; # managed by Certbot
+ ssl_certificate_key /etc/letsencrypt/live/minijude.cn/privkey.pem; # managed by Certbot
+ include /etc/letsencrypt/options-ssl-nginx.conf; # managed by Certbot
+ ssl_dhparam /etc/letsencrypt/ssl-dhparams.pem; # managed by Certbot
}
+ # Settings for a TLS enabled server.
+ #
+ # server {
+ # listen 443 ssl http2;
+ # listen [::]:443 ssl http2;
+ # server_name _;
+ # root /usr/share/nginx/html;
+ #
+ # ssl_certificate "/etc/pki/nginx/server.crt";
+ # ssl_certificate_key "/etc/pki/nginx/private/server.key";
+ # ssl_session_cache shared:SSL:1m;
+ # ssl_session_timeout 10m;
+ # ssl_ciphers PROFILE=SYSTEM;
+ # ssl_prefer_server_ciphers on;
+ #
+ # # Load configuration files for the default server block.
+ # include /etc/nginx/default.d/*.conf;
+ #
+ # error_page 404 /404.html;
+ # location = /40x.html {
+ # }
+ #
+ # error_page 500 502 503 504 /50x.html;
+ # location = /50x.html {
+ # }
+ # }
+ server {
+ if ($host = www.minijude.cn) {
+ return 301 https://$host$request_uri;
+ } # managed by Certbot
+
+
+ if ($host = minijude.cn) {
+ return 301 https://$host$request_uri;
+ } # managed by Certbot
+
+
+ listen 80;
+ listen [::]:80;
+ server_name minijude.cn www.minijude.cn;
+ return 404; # managed by Certbot
+
+ }
四. 自动续期
Let's Encrypt 证书的有效期为 90 天,但 Certbot 会在你安装时自动创建一个续期任务,可以手动测试续期:
sudo certbot renew --dry-run
如果测试通过,自动续期将在每天运行一次,确保证书不会过期。
以上这就是为 Linux Web 服务器配置 HTTPS 证书的基本步骤。
五. 进阶-为域名和所有子域名申请通用的证书
每次当需要扩展一个新的子域名时候,都需要申请一个ssl证书,那能否申请一个通用的证书?
可以的,下面请看实操:
5.1 运行 manual 模式的 certbot 命令
certbot certonly --manual --preferred-challenges dns -d "*.example.com" -d example.com
-
--manual:手动模式,不依赖 DNS API -
--preferred-challenges dns:指定使用 DNS 验证 -
-d后面列出你要包含的域名
5.2 添加一条TXT类型的域名解析记录
红框部分意思让我们去配置一个TXT的记录,name和value都告诉我们了,于是我到域名列表中添加一条解析:
按enter继续:
红框意思是可以从 toolbox.googleapps.com/apps/dig/#T… 这里网址查看你刚刚配置的是否生效。
然后成功:
然后就可以在nginx中添加一个子域名的server块:
server {
listen 443 ssl;
ssl_certificate /etc/letsencrypt/live/xxx/fullchain.pem; # 这里填刚刚生成的文件位置
ssl_certificate_key /etc/letsencrypt/live/xxx/privkey.pem; # 这里填刚刚生成的文件位置
include /etc/letsencrypt/options-ssl-nginx.conf; # managed by Certbot
ssl_dhparam /etc/letsencrypt/ssl-dhparams.pem; # managed by Certbot
server_name wechat.fengxingmedia.com www.wechat.fengxingmedia.com;
location / {
proxy_pass http://127.0.0.1:3000;
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
}
}
最后别忘了 systemstl reload nginx,再配置一条目标域名的解析记录:
